SIL在天然气净化厂控制系统安全分析中的应用

摘 要

摘要:目前针对天然气净化厂控制系统的安全分析主要采用的是危害和可操作性分析法(HAZOP),该方法主要从工艺流程的参数偏差方面分析设计上存在的缺陷,而对仪表控制系统不能作更
摘要:目前针对天然气净化厂控制系统的安全分析主要采用的是危害和可操作性分析法(HAZOP),该方法主要从工艺流程的参数偏差方面分析设计上存在的缺陷,而对仪表控制系统不能作更为详细的风险评估,而单独的安全完整性等级分析法(SIL)评估也不能完全识别出控制系统中存在的不足。为此,提出了一种将SIL与HAZOP结合使用的分析方法,充分利用HAZOP分析的成果,对HAZOP识别出来的问题或缺陷再进行SIL评估;而另一方面,对没有进行HAZOP分析的安全仪表系统(SIS)进行单独的SIL评估,弥补了HAZOP对自控风险分析的不足。应用结果表明:该方法在天然气净化厂是适用有效的,能为天然气净化厂改进SIS系统及其他技术改进提供指导。
关键词:天然气净化;风险;安全完整性等级;安全仪表系统;危害和可操作性分析;风险图表法
    天然气净化厂应用的控制系统较为复杂[1~2],包含集散控制系统(Distributed Control System,DCS)、安全仪表系统(Safety Instrumented System,SIS)、远程终端装置(Remote Terminal Unit,RTU)和可编程逻辑控制器(Programmable Logic Controller,PLC)等。目前针对天然气净化厂控制系统的安全分析方法主要是危害和可操作性分析法(Hazard and Operability Studies,HAZOP),该方法主要从工艺流程的参数偏差方面分析设计上存在的缺陷,而对仪表控制系统不能作更为详细的风险评估。为确保装置的安全运行,SIS系统的配置显得非常重要。安全完整性等级(Safety Integrity Level,SIL)评估主要针对SIS系统进行评估,包括控制回路的触发器、控制器、执行机构及其他保护措施。笔者拟就SIL评估与HAZOP分析在天然气净化厂的结合应用进行分析和研究,进一步改良和完善HAZOP分析方法。
1 SIL简介
    SIL是表述分配给安全仪表系统的安全仪表功能(Safety Instrumented Function,SIF)所需的安全完整性等级。这种等级划分是离散的,共设置有4级,其中SIL4是安全完整性最高等级[3]。SIL等级越高,意味着对应的安全防护系统可靠性越高,这是企业所期望的。但是高可靠性的安全防护系统往往会带来更多的软、硬件投资。此外,随着安全仪表系统服役时间加长,系统硬件的可靠性会随之降低,即安全完整性等级会下降。要保证系统服役过程中的完全完整性等级维持设计初衷不变,需要适时地对其进行风险评估,并制
订相应的检、维修计划或整改措施,这就是所谓的安全完整性等级(SIL)评估。
2 SIL评估思路
    SIL评估对象是受保护设备(Equipment Under Control,EUC)的安全防护系统,即安全仪表系统。其他的安全防护措施作为SIL等级的影响因子,也在SIL评估的范围之内。SIL评估的思路是首先确定受保护单元及其控制参数,然后在不考虑SIS的情况下,确定控制参数所需的SIL等级,之后,再对该控制参数现有SIS系统各回路的SIL等级进行验证,若所验证的SIL等级达不到系统所需的SIL等级,则需要改进控制方案,提高其SIL等级,使之满足系统的安全需要。
    确定SIL等级的方法有:
    1) 国际标准IEC61508[4]中规定的定量风险评估、风险图表法(定性)和风险矩阵法(定性)等分析方法。
    2) 国际标准IEC61511[5]中规定的定量方法、安全保护层矩阵法(定性)、风险图表法(定性)、修正风险图表法(半定性)和保护层分析(半定量)等分析方法。
3 SIL在天然气净化厂的应用分析
3.1 SIL评估流程
    本文参考文献[6-9]就SIL在不同SIS中的应用情况,分析了SIL技术的评估方法、过程和应用环境,不过都把SIL作为一种独立的分析方法应用在评估对象上。本文参考文献[10]给出了SIL与HAZOP的关系图,如图1所示。图1中SIL评估与HAZOP分析以明确的界限分隔开来,这种划分是建立在保护层分析(LOPA)基础上的。实际上,SIL评估的主要对象是安全仪表系统,但是在验证SIL等级时,是需要分析基本控制单元、系统报警和人工操作情况的,而HAZOP分析控制系统的防护措施时也会涉及安全仪表系统,二者之间是存在交叉区域的。
 

    本文参考文献[11]提到了一种SIL与HAZOP结合使用的分析流程,该流程同样是建立在保护层分析基础上的。按照该流程,SIL评估作为HAZOP分析的一种补充或进一步深入分析,分析对象是HAZOP识别出来的潜在危害或可操作性问题,这些问题可能包括SIS系统,也可能不包含SIS系统。那么对于HAZOP没有辨识出来的SIS系统问题,该流程就忽略掉了。实际上,HAZOP分析法大多数时候作为一种定性的分析方法,主要分析工艺流程中可能存在的不足或缺陷,受分析组成员的经验性和主观性影响很大,很难全面、准确地识别}H何处SiS达不到所需的要求,容易形成漏分析。
    为此,笔者在本文参考文献[10-11]的基础上,提出了另一种关于SIL与HAZOP结合使用的分析方法。具体流程如图2所示。
    图2所示的流程包括了确定需求资料、确定评估范围和目标、HAZOP分析、确定评估对象所需的SIL等级和验证评估对象SIS系统现有的SIL等级等,充分利用了HAZOP分析的成果,对HAZOP识别出来的问题或缺陷进行SIL评估,而另一方面,对没有进行HAZOP分析的SIS进行单独的SIL评估。若SIL等级达不到所需要求,可以识别出SIS系统中SIL等级不够的单个或多个元件。通过这样的分析,既解决了HAZOP不能详细分析SIS的缺点,又解决了SIL评估可能漏项的缺点,为尽可能全面地对评估对象进行安全分析并找出SIS潜在的不足提供了一种更为有效的安全评估方法。
3.2 SIL评估作用
    天然气净化厂所涉及的工艺介质主要是含硫天然气、脱硫溶剂、脱水溶剂、酸气和液硫等。其中原料天然气属于易燃、易爆的有毒气体,酸气中的H2S含量较高,属于剧毒物质。一旦这些工艺介质发生泄漏,将可能带来重大的安全事故,造成人员、经济、环境的重大损失。同时,天然气净化厂通常在高压下对天然气进行脱硫和脱水,在高温下进行脱硫溶剂、脱水溶剂再生和实现硫磺回收。故在天然气净化过程中,会涉及高温、高压的设备和管线。当装置出现意外情况引起高压窜低压时,可能会导致低压设备和管线爆裂、有毒介质泄漏及人员伤亡等重大安全事故发生。
    为避免上述恶性事故发生,天然气净化厂一般都设有SIS系统,用于减少或避免意外情况给装置、人员、环境造成损害。因此SIS系统的可靠性就显得格外重要和关键,而SIS系统设计是否满足工况条件和相关标准的要求,就需要对其进行审查评估。SIL评估技术是一种有针对性的专业评估方法,其作用为:
    1) 使用户正确认识到SIS系统的作用。在某些情况下,即便SIL等级比较高也不一定能满足装置的防护要求。通过SIL评估,可以指出SIS系统中哪些环节没有达到要求的SIL等级,并根据要求有针对性地改进SIS系统,有效避免盲目提高SIL等级造成的投资浪费。
    2) 对识别出来SIL等级达不到所需要求的SIS系统,进一步分析其中某些环节存在问题的原因,指导用户对这些不能满足安全要求的环节进行改进,提高其SIL等级。
    3) 将HAZOP分析与SIL评估有机地结合起来,可以识别出装置中大部分的潜在危害。根据图2的流程,可以有效地发现装置中SIS系统存在的缺陷。

4 应用案例
4.1 案例分析
    以某天然气净化厂的脱硫塔为例(该塔属于重点高压设备)。含硫天然气在塔内由下至上,在常温高压条件下脱除其中的硫化氢后从塔顶排出,脱硫溶剂贫液自塔顶往下流,吸收含硫天然气中的硫化氢后从塔底排出,进入低压系统再生。为保证高压介质不窜入低压系统,除设置脱硫塔液位调节回路外,另设置了安全联锁控制回路,作为重要的防护层。该装置现有防护措施如表1所示。

HAZOP分析产生液位低低的主要原因是塔底富液管线的流量过大,认为现有的安全设施比较完备,无需添加其他保护措施。按照本文参考文献[10-11]的分析方法,关于脱硫塔液位低低的HAZOP分析和SIL评估工作也就结束了。而按图2所示的SIL评估分析流程,还应对富液出口管线的联锁控制回路进行SIL评估。
 

4.2 SIL评估过程
4.2.1确定系统所需SIL等级
    在不考虑所有安全防护措施的前提下,分析如果高压气体窜入低压设备或管线,可能导致设备或管线爆炸的危害后果,评估爆炸事故发生后对人员、环境和经济的损害程度。根据国家标准GB/T21109.3—2007[12]规定的风险图参数表(如表2所示),确定选择C3、F1和W2参数,将其应用到如图3所示的风险图上,并考虑环境和经济的损失。评估结果显示该处所需的安全完整性等级为SIL3,属于高风险。
4.2.2验证现有SIS系统的SIL等级
    对富液管线液位低低的联锁控制回路进行SIL等级验证,验证结果表明系统所需等级为SIL3,而现有SIS系统的配置为SIL2,安全防护等级达不到要求的主要原因是执行机构的SIL等级配置不够高。为此,可从提高执行机构的SIL等级来考虑提高联锁控制回路的SIL等级,使其达到SIS系统所需的要求。可采取的办法比较多,最简单的方式是将紧急停车系统(Emergency Shut Down,ESD)的控制信号同时传给调节阀,使调节阀与原来的切断阀形成2选1的联锁功能。
5 结论
    1) SIL评估技术很有必要在天然气净化厂的现役装置上应用,以评估现有SIS系统配置的SIL等级是否满足标准要求的安全完整性等级。
    2) SIL评估技术的重要性在于:①可以发现SIS系统存在的不足,为工程设计或装置技术改造提供指导意见,也能避免设计上盲目追求高SIL等级带来的额外投资。②进一步确定触发器、逻辑控制器和执行机构等具体部位存在的缺陷,引导用户更有针对性地改进SIS系统,使其达到所需的SIL等级。同时,也为装置的进一步改造和仪表控制系统的检(维)修提供指导依据。
    3) 天然气净化厂属于高温高压、易燃易爆、剧毒介质的危险场所,如果引发安全事故,后果相当严重。建议针对天然气净化厂现役装置开展SIL评估,确定原设计及目前的SIS系统安全完整性等级是否达到相关的标准要求。
参考文献
[1] 乔蓓.作业条件危险性评价法在天然气净化厂辅助生产设施安全评价中的应用[J].石油与天然气化工,2007,36(5):432-434.
[2] 郑鹤,宋彬,计维安,等.保障天然气净化装置长周期运行的RBI技术[J].天然气工业,2009,29(3):107-109.
[3] 中华人民共和国国家质量监督检验检疫总局.GB/T 21109.1-2007/IEC 61511-I:2003过程工业领域安全仪表系统的功能安全 第1部分:框架、定义、系统、硬件和软件要求[S].北京:中国标准出版社,2007.
[4] International Electrotechnical Commission.IEC61508-1998 Functional safety of electrical/Electronic/Programmable electronic safety-related systems[S].Geneva,Switzerland:IEC Central Office,2000.
[5] International Electrotechnical Commission.IEC61511-2003 Functional safety:safety instrumented systems for the process industry sector[S].Geneva,Switzerland:IEC Central office,2003.
[6] 许忠仪.安全仪表系统(SIS)的SIL评估[J].化工自动化及仪表,2009,36(5):62-66.
[7] 温庆,李军.场站安全完整性管理探讨[J].天然气勘探与开发,2008,31(3):75-78.
[8] 刘培林,陈好,霍有利.海上油气生产装置设计中的安全完整性等级评定[J].石油化工自动化,2009,45(2):18-20.
[9] 刘建侯.石化工业仪表安全系统安全生命周期要求和安全完整性等级的评估[J].石油化工自动化,2007,43(2):1-4.
[10] 缪煜新.石油化工装置中SIS的安全功能[J].石油化工自动化,2004,40(3):10-12.
[11] 姜巍巍,李玉明,王春利,等.安全仪表系统-安全完整性等级(SIL)评估技术应用[J].中国仪器仪表,2009,28(2):48-51.
[12] 中华人民共和国国家质量监督检验检疫总局.GB/T 21109.3-2007/IEC 61511-3:2003过程工业领域安全仪表系统的功能安全 第3部分 确定要求的安全完整性等级的指南[S].北京:中国标准出版社,2008.
 
(本文作者:夏太武1 袁树海1 宋彬1 张炜1 彭云2 熊生勇2 李范书1 1.中国石油西南油气田公司天然气研究院;2.中国石油西南油气田公司重庆天然气净化总厂万州分厂)